امروزه امنیت اطلاعات، بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر به شمار مي رود. از اين رو، امنیت دارایی های اطلاعاتی، برای تمامي سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

امنیت اطلاعات

فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. امنیت اطلاعات شامل سه بُعد مهم است:

  1. محرمانگی  (Confidentiality)
  2. یکپارچگی  (Integrity)
  3. دسترس پذیری  (Availability)

استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است. سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد زير را ایجاد نماید:

  • رضایت نیازمندی های امنیتی مشتریان و سایر ذینفعان
  • بهبود طرح ها و فعالیت های سازمان
  • تأمین اهداف امنیت اطلاعات سازمان
  • تطابق با آيین نامه ها و قوانین و مقررات مربوط به کار
  • مدیریت دارایی های اطلاعاتی در یک روش سازمان یافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک می کند.

لذا ضروري است كه سیستم مدیریت امنیت اطلاعات (ISMS)، با توجه به نیازها و الزامات هر سازمان و منطبق با رویه ها و استانداردهای ISO/IEC 27001 و ISO/IEC 27002  طبق فازهای زير، طراحی و پیاده سازی شود:

  1. 1.         ارزیابی و شناخت اولیه (Gap Analysis):

در فاز ارزیابی و شناخت اولیه، میزان انطباق سازمان با الزامات و کنترل های استاندارد ISO/IEC 27001  مورد بررسی قرار می گیرد. این مرحله، کمک شایانی به تعیین دامنه (scope) پیاده سازی سیستم و فاز طراحی خواهد نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

  • شناسایی وضعیت موجود و ارزیابی میزان انطباق سازمان با الزامات و کنترل های استاندارد  ISO/IEC 27001
  • مستندسازی و تهیه گزارش از وضعیت موجود
  • تعیین دامنه (scope) پیاده سازی سیستم مدیریت امنیت اطلاعات
  • تهیه و تدوین خط مشی امنیت اطلاعات
  • کمک به سازماندهی و تشکیل کمیته راهبری امنیت در سازمان
  1. 2.         آگاه سازی و آموزش (Awareness & Training):

در این مرحله، تمامي افراد درگیر در فرآیند پیاده سازی سیستم مدیریت امنیت اطلاعات، آموزش دیده و با مفاهیم و الزامات ISMS آشنا می شوند.

  1. 3.         طراحی  ISMS (Planning & Design):

به منظور موفقیت در پیاده سازیISMS ، می بایست این سیستم را مطابق با الزامات استاندارد و نیازمندی های سازمان طراحی نمود. فعالیت هایی که در این مرحله اجرا می شود، عبارتند از:

  • تهیه لیست دارایی های واقع در دامنه
  • طبقه بندی و ارزش گذاری دارایی های اطلاعاتی
  • تعیین و تدوین متدولوژی ارزیابی مخاطرات
  • تدوین خط مشی ها، دستورالعمل ها و روش های اجرایی مورد نیاز سیستم
  • تدوین طرح تداوم کسب و کار  (BCP)
  • تدوین طرح برطرف سازی مخاطرات  (RTP)
  • تدوین بیانیه کاربست پذیري (SOA)
  1. 4.         پیاده سازی  ISMS(Implementation):

در این مرحله، کنترل ها، طرح ها و سیاست های امنیتی تهیه شده در فاز قبلی، پیاده سازی می شود.

  1. 5.         ممیزی داخلی و همراهی تا صدور گواهینامه بین المللی (Internal & External Audit):

پس از پیاده سازی و استقرار کامل سیستم مدیریت امنیت اطلاعات در سازمان، سرممیزان انتخاب شده توسط سازمان، با پیش ممیزی سیستم پیاده سازی شده قبل از ممیزی نهایی، موارد انحرافی و عدم انطباق ها را شناسایی می کنند و با ارايه اقدامات اصلاحی و پیشگیرانه مناسب به منظور رفع عدم انطباق های شناسایی شده، سازمان را تا اخذ گواهینامه بین المللی ISO/IEC 27001  همراهی می نمایند.

مزایای پیاده سازی ISMS در یک سازمان:

  • امنیت اطلاعات و دارایی های اطلاعاتی
  • حفظ محرمانگی و در دسترس بودن اطلاعات
  • حفظ اطلاعات از بروز تهدیدات، آسیب پذیری ها و مخاطرات در حد امکان
  • آمادگی برای مواجه با حوادثی كه امنیت اطلاعات را به مخاطره انداخته اند.
  • ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات
  • بازگشت هزینه صرف شده برای پیاده سازی ISMS در بلند مدت
  • کاهش هزینه های ترمیم خسارات ناشی از کمبود و نقص موازین امنیتی
  • شناسایی، ارزیابی و حفاظت از دارایی های مهم سازمان همچون: پرسنل کلیدی، دانش پرسنل، اطلاعات سازمان و وجه و اعتبار سازمان
  • اطمینان از تداوم کسب و کار و كاهش صدمات از طریق ایمن ساختن اطلاعات و كاهش تهدیدها
  • امكان رقابت بهتر با سایر سازمان ها